第 9 章 Oracle Solaris ZFS 委托管理.docxVIP

第 9 章 Oracle Solaris ZFS 委托管理本章介绍如何使用委托管理来允许非特权用户执行 ZFS 管理任务。本章包含以下各节：ZFS 委托管理概述委托 ZFS 权限显示 ZFS 委托权限（示例）委托 ZFS 权限（示例）删除 ZFS 委托权限（示例）ZFS 委托管理概述通过 ZFS 委托管理，可向特定用户、组或每个人分配精确的权限。支持两种类型的委托权限：可以显式委托各个权限，如 create、destroy、mount、snapshot 等。可以定义称为权限集的权限组。以后可以更新权限集，并且权限集的所有使用者都会自动获得更改。权限集以 @ 符号开头，长度不能超出 64 个字符。在 @ 符号之后，集名称中的其余字符与标准的 ZFS 文件系统名称具有同样的限制。ZFS 委托管理可提供与 RBAC 安全模型类似的功能。ZFS 委托在管理 ZFS 存储池和文件系统方面具有以下优点：迁移 ZFS 存储池时，权限跟随存储池。提供动态继承性，以便您可以控制权限通过文件系统传播的方式。可进行配置，以便只有文件系统的创建者可以销毁该文件系统。 可向特定文件系统委托权限。新创建的文件系统可以自动获得权限。提供简单的 NFS 管理。例如，具有显式权限的用户可以在适当的 .zfs/snapshot 目录中通过 NFS 创建快照。可考虑使用委托管理来分配 ZFS 任务。有关使用 RBAC 来管理常规 Oracle Solaris 管理任务的信息，请参见《系统管理指南：安全性服务》中的第?III?部分, “角色、权限配置文件和权限”。禁用 ZFS 委托权限使用池的 delegation 属性控制委托管理功能。例如：# zpool get delegation usersNAME PROPERTY VALUE SOURCEusers delegation on default# zpool set delegation=off users# zpool get delegation usersNAME PROPERTY VALUE SOURCEusers delegation off local缺省情况下，delegation 属性处于启用状态。委托 ZFS 权限可以使用 zfs allow 命令通过以下方式将 ZFS 数据集的权限委托给非超级用户：可将各个权限委托给用户、组或每个人。可将各权限的组作为权限集委托给用户、组或每个人。可将权限以本地方式仅委托给当前数据集，或委托给当前数据集的所有后代。下表介绍了可以委托的操作以及执行委托操作所需要的所有相关权限。权限（子命令）?说明?相关性?allow将您拥有的权限委托给其他用户的权限。?还必须具有正在允许的权限。?clone克隆数据集的任何快照的权限。 ?还必须在原始文件系统中具有 create 权限和 mount 权限。create创建后代数据集的权限。?还必须具有 mount 权限。destroy销毁数据集的权限。?还必须具有 mount 权限。挂载挂载和取消挂载数据集以及创建和销毁卷设备链接的权限。?? promote将克隆提升为数据集的权限。?还必须在原始文件系统中具有 mount 权限和 promote 权限。receive使用 zfs receive 命令创建后代文件系统的权限。还必须具有 mount 权限和 create 权限。rename重命名数据集的权限。?还必须在新父级中具有 create 权限和 mount 权限。rollback回滚快照的权限。?? send发送快照流的权限。?? share共享和取消共享数据集的权限。?? 快照创建数据集快照的权限。?? 您可以委托下面的一组权限，但权限可能只限于访问、读取或更改权限：groupquotagroupuseduserpropuserquotauserused此外，还可向非超级用户委托以下 ZFS 属性的管理：aclinheritaclmodeatimecanmountcasesensitivitychecksumcompressioncopiesdevicesexecmountpointnbmandnormalizationprimarycachequotareadonlyrecordsizerefreservationreservationsecondarycachesetuidshareiscsisharenfssharesmbsnapdirutf8onlyversionvolblocksizevolsizevscanxattrzoned其中有些属性只能在创建数据集时设置。有关这些属性的说明，请参见ZFS 属性介绍。委托·ZFS 权限